Malware-Patch
Malware-Patch copied to clipboard
the1812
阻止中国流氓软件的管理员授权. / Prevent UAC authorization of Chinese malware.
[Reason Security](https://www.reasonsecurity.com/) 遇到的流氓软件, 静默安装且无法卸载, 能否考虑加入屏蔽列表? Malware encountered that installs silently and cannot be uninstalled. Could you please consider adding it to the banning list?
我注意到这个程序会被很多杀软误报,其中卡巴斯基检测为:HackTool.MSIL.AntiAV.a,这表示卡巴斯基将此程序分类为可被用于反反病毒软件的工具。我注意到软件介绍中的奇虎360签名,奇虎360在卡巴斯基实验室亦被认定为反病毒软件提供商与合作伙伴,此程序可被用于拦截奇虎360的反病毒产品安装,这或许是包括卡巴斯基在内的其他杀毒软件误报的一个重要原因。
## 分享我的使用经历 - 一直在用这种“证书防御”的方法来“保卫”家中长辈们的电脑。不用配置复杂的HIPS规则,就可以免遭大部分流氓软件的侵袭。 - 最近卡巴斯基总是将mwp.exe标记为恶意软件,软件更新后又要重新添加信任。长辈们不会操作,每次都是我远程帮他们重新部署。杀软”狙击“的行为是很奇怪的,但是长辈们的电脑不得不安装杀毒软件。早期我使用的是github上的另一个项目[chinawareblock](https://github.com/sharoue/chinawareblock/tree/master/%E4%B8%80%E9%94%AE%E5%B1%8F%E8%94%BD%E8%BD%AF%E4%BB%B6),使用shell脚本安装证书的方式一直没出过问题,但是这个项目年久失修,证书仓库很久没有更新了。 - 因此我想为了避免杀软狙击,可以改用shell脚本下载、上传和安装,通过windows计划任务定期运行,形成“云证书防火墙”。 - 另外,这类项目最有价值的地方就是不断更新的证书仓库,若是能侧重于malware证书的提取和上传,用户使用类似订阅连接的功能从网络下载最新的证书库,那这个防御体系的威力就很可观了。 以上是我结合自身的使用体验,提出的一些看起来美好但也许不成熟的想法,供社区批判性讨论。 **关于shell的想法我也进行过研究,但是由于技术有限,遇到了难点,我将一些进展列于下方。** ## shell实现方案的“研究进展” - windows自带相关的CLI证书管理工具,安装和删除操作都能够比较轻松的实现。关于证书提取,类似于C#的CreateFromSignedFile()这一接口,powershell有Get-AuthenticodeSignature这一cmdlet。 - 但是难点在于**全部**数字证书的自动提取,具体来说:使用powershell的相关命令只能提取出文件的第一个证书,而现在的软件(比如说QQ)都具有2个或多个证书,只要有一个证书没有被屏蔽,程序就照样能够运行,这也是windows证书机制比较坑爹的地方。 - 当然还有一个方法是用户手动提取证书,然后选择上传到公共仓库。我将查阅到的方法附于下: > 1. 鼠标右击任意一个exe、msi或dll文件,选择“**属性**”。 > 2. 如果文件经过数字签名,将会出现一个标题为“**数字签名**”的选项卡,选择该选项卡。 > 3. 在“**签名列表**”中可以看到一个或多个签名文件,通常是 sha1...
文件证书:[起点PDF阅读器.zip](https://github.com/the1812/Malware-Patch/files/9382579/PDF.zip) 证据:https://www.huorong.cn/info/1660892844878.html 请求加入拦截。
如题 
然后命令行导入列表,因为有一些流氓软件还需要用,特别是办公室里面的电脑,例如QQ威信的。 做成命令行导入静默执行,可以使用软件策略用命令分发下去统一执行。 感谢作者做出贡献!
[原理与方式](https://cloud.tencent.com/developer/article/2122633) 效果图(Windows 11)  目前使用的证书管理员方式拦截在UAC被意外关闭的情况下可绕过,建议追加此方案实现全方位拦截
